<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, May 30, 2015 at 11:08 AM, Ryan Carboni <span dir="ltr"><<a href="mailto:ryacko@gmail.com" target="_blank" onclick="window.open('https://mail.google.com/mail/?view=cm&tf=1&to=ryacko@gmail.com&cc=&bcc=&su=&body=','_blank');return false;">ryacko@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>There have been attacks as a result of nonce reuse and poorly generated nonces for ECC.</div></div></blockquote><div><br></div><div>True, if you're talking about ECDSA, but ECDSA sucks. Use EdDSA and this isn't a problem.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>There may be as of yet unknown attacks against ECC private keys that are heavily used but with random nonces.<br></div></div></blockquote><div><br></div><div>FUD!</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div>No such attacks for public key cryptosystems using prime factorization. <br></div></div></blockquote><div><br></div><div>a.k.a. RSA signatures don't use a nonce</div><div><br></div><div>But RSA has failed spectacularly for lots and lots of reasons because it has sharp edges that don't exist in ECC, like:</div><div><br></div><div>- Using a bad public exponent (e.g. 1): <a href="http://www.cryptofails.com/post/70059600123/saltstack-rsa-e-d-1">http://www.cryptofails.com/post/70059600123/saltstack-rsa-e-d-1</a></div><div>- Failing to use padding, or using a weak padding mode (e.g. PKCS#1v1.5)</div><div>- Implementing RSA naively in a way that's vulnerable to trivial timing attacks (e.g. failure to use random blinding)</div></div><div><br></div><div>Then there's the part where RSA is slow (especially on the server side for things like TLS) and has ginormous keys.</div><div><br></div><div>The latter can be used for amplification attacks in contexts like DNSSEC.</div><div><br></div><div>tl;dr: RSA sucks. Stop using it.</div><div><br></div>-- <br><div class="gmail_signature">Tony Arcieri<br></div>
</div></div>